Bedrohungsanalyse für Devs

14:00 bis 14:50 in Raum V3 (A301)

Michael Jerger

Abstract

Mit dda-threats gibt es nun ein OpenSource Tool, das Bedrohungsanalyse im Dev Style erlaubt.

Nachdem Richtlinien wie der Cyber Resiliance Act langsam wirksam werden, ist die Bedrohungsanalyse bei vielen von uns schon angekommen. Wie Angreifer vorgehen ist uns leider oft genug noch völlig unklar, daher leiden Bedrohungsanalysen in der Praxis unter fehlendem Wissen und zu allem Überfluss oft auch unter sehr unhandlichem Tooling.

Um den Leidensdruck an dieser Stelle zu senken, enthält dda-threats allgemeingültiges Angreifer-Wissen in Form von leicht vermittelbaren Angriffsbäumen, alle notwendigen Modellierungen liegen als yaml vor, daraus resultierende Reports werden per Kommandozeile generieren.

Damit gelingt jeglichem Entwicklerteam der Schnellstart und eine leichte CI Integration. Kontinuierliche Bedrohungsanalysen könnten so schon fast Spass machen.

Der Vortrag zeigt die wesentlichen Elemente einer System-Modellierung, wie Angriffsbäume erweitert werden können, wie optionale Mitigationen modelliert werden und wie daraus ein Report entsteht.

Beschreibung

• Library: https://repo.prod.meissa.de/meissa/dda-threats
• Beispiel-Anwendung: https://repo.prod.meissa.de/meissa/forgejo-threats

Über mich

Wer wir sind: meissa GmbH
Aus: Reutlingen - http://meissa.de
Dev: Python, Java, Kotlin, Clojure, Go
Ops: K8s & OpenShift, Cloud, OpenTofu, CI/CD
Service&Support: Forgejo